자동화와 범죄 – 어뷰징 사용과 처벌

 

1. 사건의 배경 및 개요

인터넷과 자동화 기술의 발전은 다양한 편의를 제공하지만, 동시에 이를 악용한 새로운 유형의 범죄 또한 양산하고 있습니다. 특히 온라인 광고 시장의 성장과 함께 경쟁업체의 광고 효과를 무력화시키거나 부당한 이익을 취하려는 목적으로 자동화 프로그램을 사용하는 사례가 발생하며, 이는 복잡한 법적 문제로 이어지곤 합니다.

대법원 2010도14607 판결은 악성 프로그램을 이용하여 인터넷 검색 결과를 조작하고 광고를 부정하게 클릭한 행위에 대해, 정보통신망법 위반과 형법상 업무방해죄의 성립 여부를 판단한 대표적인 사례입니다. 이 판결은 자동화된 행위가 어떠한 조건 하에서 위법행위로 규정되는지에 대한 구체적인 법원의 시각을 제시합니다.

본 사건에서 피고인은 자사 웹사이트를 통해 무료 프로그램을 배포하면서 사용자들의 의사에 반하여 ‘eWeb.exe’라는 악성 프로그램이 포함된 ‘ActiveX’ 컨트롤을 사용자의 컴퓨터에 은밀히 설치했습니다. 이 악성 프로그램은 다음과 같은 기능을 수행했습니다:

1. 검색 순위 및 연관 검색어 조작:

• 피고인 회사 서버로부터 주기적으로 작업 지시 목록을 내려받음
• 네이버 검색창에 특정 키워드를 자동으로 입력하고, 지시된 웹사이트 링크를 자동으로 클릭
• 특정 검색어에 대한 특정 업체의 연관검색어나 자동완성어를 인위적으로 생성하고 검색 결과 순위를 부당하게 상승시킴

2. 스폰서 광고 부정 클릭 (클릭 사기):

• 실제 사용자는 검색어를 입력하거나 광고를 클릭하지 않았음에도 불구하고, 마치 사용자가 실제로 이러한 행위를 한 것처럼 가장
• 허위의 클릭 신호를 네이버의 관련 시스템 서버로 전송하여 광고주에게 금전적 손해를 입힘

 

2. 주요 법적 쟁점

본 사건에서 피고인은 다음과 같은 혐의로 기소되었습니다:

1. 정보통신망 침입죄 (구 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제48조 제1항 위반)
2. 정보통신망 장애죄 (구 정보통신망법 제48조 제3항 위반)
3. 컴퓨터 등 장애 업무방해죄 (형법 제314조 제2항)

각 혐의에 대한 법적 쟁점은 다음과 같습니다:

• 사용자 컴퓨터에 악성 프로그램을 설치한 행위가 정보통신망 침입에 해당하는지
• 허위 클릭과 조작된 검색어 입력이 정보통신망의 ‘장애’를 발생시켰는지
• 자동화 프로그램을 통해 허위의 검색 및 클릭 정보를 입력한 행위가 컴퓨터 등 장애 업무방해에 해당하는지

 

3. 정보통신망 침입죄에 대한 법원의 판단

대법원은 정보통신망 침입죄에 대해 유죄로 판단했습니다.

피고인이 사용자의 컴퓨터에 악성 프로그램(‘eWeb.exe’)을 사용자가 명확히 인지하지 못하는 방식으로 설치한 행위 자체가 정보통신망 침입의 시발점이 된다고 보았습니다. 비록 사용자가 무료 프로그램을 다운로드하는 과정에서 설치가 이루어졌더라도, 다음과 같은 이유로 정보통신망 침입죄가 성립한다고 판단했습니다:

• 악성 프로그램의 존재와 그 기능이 사용자에게 명확히 공개되지 않았음
• 설치 후 사용자의 의사와 무관하게 피고인 회사 서버와 통신하며 허위 신호를 전송함
• 이러한 일련의 행위는 정보통신시스템 및 이에 연결된 정보통신망에 대한 정당한 접근 권한 범위를 벗어난 침입 행위에 해당함

따라서 사용자의 소극적 동의를 악용한 기만적 설치 및 이후의 무단 행위는 정보통신망법에서 금지하는 불법적인 침입 행위로 인정되었습니다.

 

4. 정보통신망 장애죄에 대한 법원의 판단

대법원은 정보통신망 장애죄에 대해서는 무죄로 판단했습니다.

대법원은 정보통신망법 제48조 제3항에서 규정하는 ‘정보통신망의 장애’와 ‘부정한 명령’에 대해 명확한 해석 기준을 제시했습니다:

‘정보통신망 장애’의 엄격한 정의

• ‘정보통신망의 장애’란 정보통신망의 핵심 기능(정보의 수집·가공·저장·검색·송신·수신 기능)을 물리적으로 불가능하게 하거나 그 기능 수행을 현저하게 저해하는 상태가 현실적으로 발생하는 것을 의미함
• 이는 시스템 다운, 속도 저하로 인한 서비스 불능 등과 같이 네트워크의 안정적 운영 자체가 위협받는 상황을 상정함

‘부정한 명령’의 해석 기준

• ‘부정한 명령’은 정보통신망 장애를 유발할 수 있는 성질의 것이어야 함
• 단순히 시스템이 예상하지 못한 명령이라는 의미를 넘어, 시스템의 목적상 예정하고 있지 않은 프로그램을 실행하게 하거나, 시스템 프로그램의 개별 명령을 무단으로 변경·삭제·추가하거나 프로그램 전체를 변경하여 네트워크의 안정성을 해칠 수 있는 명령을 의미함

무죄 판단 이유

피고인의 악성 프로그램이 네이버 검색창에 자동으로 검색어를 입력하고 특정 웹사이트를 클릭하도록 한 행위는, 네이버 시스템이 통상적으로 처리하도록 설계된 종류의 정보(검색어 입력 신호, 웹사이트 클릭 신호)를 이용한 것이었습니다.

비록 그 내용이 사용자의 실제 의사를 반영하지 않은 허위의 것일지라도, 이러한 신호 전송으로 인해 네이버 정보통신망 자체가 물리적으로 손상되거나 서버가 다운되는 등 그 안정적인 운영에 직접적인 ‘장애’가 발생했다고 보기는 어렵다고 판단했습니다.

검색 결과의 신뢰성이나 공정성이 저해될 수 있다는 점과는 별개로, 정보통신망법 제48조 제3항이 보호하고자 하는 ‘정보통신망의 안정적 운영’이라는 법익이 직접적으로 침해되었다고 보지 않은 것입니다.

 

5. 컴퓨터 등 장애 업무방해죄에 대한 법원의 판단

대법원은 컴퓨터 등 장애 업무방해죄에 대해 유죄로 판단했습니다.

‘허위의 정보’ 입력

대법원은 악성 프로그램이 실제 사용자의 검색 행위나 클릭 의사가 없음에도 불구하고, 마치 그러한 행위가 있었던 것처럼 가장하여 네이버 관련 시스템 서버에 신호를 전송한 것은 ‘객관적인 진실에 반하는 내용의 정보’, 즉 ‘허위의 정보’를 정보처리장치에 입력한 행위에 해당한다고 명시했습니다.

‘정보처리의 장애’ 발생 및 그 의미

이러한 ‘허위의 정보’ 입력으로 인해, 네이버의 관련 시스템(검색 순위 결정 시스템, 광고 클릭 집계 시스템 등)은 이를 실제 사용자의 유효한 행위로 오인하여 그에 따른 정보처리를 수행했습니다.

그 결과, 정보처리장치가 본래의 사용목적(정확한 사용자 관심사 반영, 공정한 검색 결과 제공, 유효 클릭에 기반한 광고비 정산)에 부합하는 기능을 제대로 수행하지 못하거나 사용목적과 다른 왜곡된 기능을 수행하게 된 것 자체가 ‘정보처리의 장애’가 현실적으로 발생한 것이라고 판단했습니다.

구체적인 업무방해 인정

위와 같은 허위 정보 입력 및 그로 인한 정보처리의 장애는 네이버의 검색어 제공 서비스라는 핵심 업무와, 광고주들로부터 정당한 광고비를 받고 유효한 광고 서비스를 제공해야 할 광고 업무를 직접적으로 방해했다고 인정했습니다.

부정 클릭으로 인해 광고주는 무효한 클릭에 대해 광고비를 소진하게 되고, 네이버는 검색 결과 및 광고 시스템의 신뢰성을 잃게 되는 등 구체적인 업무방해의 위험이 발생했다고 본 것입니다.

이 죄는 업무방해의 ‘위험’만으로도 성립 가능한 추상적 위험범의 성격을 가지므로, 실제 검색 순위 변동이나 광고비 환불 발생 여부와 관계없이 정보처리에 현실적 장애가 발생하고 업무방해의 위험이 초래되었다면 범죄가 성립한다고 보았습니다.

 

6. 판결의 법적 시사점

이 대법원 판결(대법원 2013.03.28. 선고 2010도14607 판결)은 자동화 프로그램 및 악성코드를 이용한 디지털 범죄에 대한 법적 해석의 중요한 지침을 제공하며, 다음과 같은 심층적인 시사점을 던져줍니다.

‘정보통신망 장애’와 ‘정보처리의 장애’의 명확한 개념 구분

• ‘정보통신망 장애'(정보통신망법)는 주로 네트워크 인프라 자체의 물리적·기능적 안정성과 가용성 침해에 초점을 맞춤
• ‘정보처리의 장애'(형법상 업무방해죄)는 정보처리 시스템이 처리하는 정보의 내용이나 처리 과정의 왜곡으로 인해 시스템이 본래 의도된 목적을 달성하지 못하고 업무의 공정성, 정확성, 신뢰성이 훼손되는 경우까지 포괄하는 더 넓은 개념

이는 기술적으로 정상 작동하는 것처럼 보이는 시스템이라도 그 결과물이 허위 정보에 기반한다면 법적 책임을 물을 수 있는 근거가 됩니다.

행위의 ‘기술적 정상성’과 ‘내용의 허위성’ 간의 법적 평가

자동화 프로그램이 시스템에 전송하는 명령이나 데이터가 기술적으로는 해당 시스템이 수용하고 처리할 수 있는 정상적인 형태(예: 표준 HTTP 요청)를 취하고 있더라도, 그 내용이 객관적 사실과 부합하지 않는 ‘허위’이고, 이러한 허위 정보가 시스템으로 하여금 잘못된 판단이나 처리를 하도록 유도한다면 이는 형법상 ‘허위 정보 입력’에 해당하여 처벌될 수 있음을 명확히 했습니다.

자동화 기술의 윤리적·법적 책임 강화

이 판결은 프로그램 개발자나 운영자가 자동화된 수단을 사용할 때, 단순히 기술적 효율성만을 추구하는 것을 넘어 그 자동화된 행위가 만들어내는 결과의 진실성, 그리고 그것이 타인의 권리나 정당한 업무 수행에 미칠 수 있는 영향까지 고려해야 할 법적·윤리적 책임이 있음을 강조합니다.

특히, 경쟁 질서를 왜곡하거나 타인에게 부당한 손해를 입히려는 의도로 자동화 기술을 오용하는 경우 엄중한 법적 제재를 받을 수 있음을 경고합니다.

업무방해죄에 있어서 ‘정보처리의 장애’의 현실적 발생의 의미

‘정보처리의 장애’는 반드시 시스템의 물리적 파괴나 작동 불능 상태만을 의미하는 것이 아니라, 시스템이 허위의 정보를 진실한 것으로 오인하여 처리함으로써 그 사용목적에 따른 정확하고 공정한 정보처리를 수행하지 못하게 되는 상태 역시 포함됨을 분명히 하여, 지능화·고도화되는 사이버 범죄에 대한 형법적 대응의 폭을 넓혔다고 평가할 수 있습니다.

법무법인 케이앤피는 최근 인터넷 서비스 제공업체를 대리하여 자동화 프로그램 관련 법적 분쟁을 성공적으로 해결한 경험이 있으며, 기업이 자동화 기술을 안전하고 합법적으로 활용할 수 있도록 포괄적인 법률 자문을 제공하고 있습니다.